CC BY
230
7. Biham E., Shamir A., Differential Cryptanalysis of DES-like Cryptosystems, Extended Abstract, Crypto'90, Springer-Velgar, 1998. - P. 2.
Бабенко Людмила Климентьевна
Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет»
. .
E-mail: [email protected].
347928, г. Таганрог, ул. Чехова, 2, корпус "И".
Тел.: 8 (8634) 312-018.
Кафедра безопасности информационных технологий; профессор.
Babenko Lyudmila Klimentevna
Taganrog Institute of Technology - Federal State-Owned Educational Establishment of Higher Vocational Education “Southern Federal University”.
E-mail: [email protected].
Block “I”, 2, Chehov str., Taganrog, 347928, Russia.
Phone: 8 (8634) 312-018.
The Department of Security of Information Technologies; professor.
Ищукова Евгения Александровна
Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет»
. .
E-mail: [email protected].
347928, . , . , 2, " ".
Тел.: 8 (8634) 371-905.
Кафедра безопасности информационных технологий; доцент.
Ischukova Evgeniya Aleksandrovna
Taganrog Institute of Technology - Federal State-Owned Educational Establishment of Higher Vocational Education “Southern Federal University”.
E-mail: [email protected].
Block “I”, 2, Chehov str., Taganrog, 347928, Russia.
Phone: 8 (8634) 371-905.
The Department of Security of Information Technologies; associate professor.
УДК 681.03.245
Л.К. Бабенко, Е.А. Ищукова ДИФФЕРЕНЦИАЛЬНЫЙ КРИПТОАНАЛИЗ ПОТОЧНЫХ ШИФРОВ*
Рассмотрены основные моменты анализа поточных алгоритмов шифрования с использованием метода дифференциального криптоанализа на примере алгоритма А5/1. Предложена методика проведения дифференциального анализа шифра А5/1, а также других шифров, имеющих сходное строение.
Поточные шифры; дифференциальный криптоанализ; регистр сдвига с обратной линейной связью.
Работа поддержана грантом РФФИ № 09-07-00245-а. 232
L.K. Babenko, E.A. Ischukova DIFFERENTIAL CRYPTANALYSIS OF STREAM CIPHERS
In article highlights of stream ciphers differential cryptanalysis on an example of algorithm A5/1 are considered. The technique of carrying out of the differential analysis of 5/1 cipher and also other ciphers having a similar structure is offered.
Stream ciphers; differential cryptanalysis; linear feedback shift register.
Основной целью криптографической защиты информации является защита от утечки информации, которая обеспечивается путем обратимого однозначного преобразования скрываемых данных в форму, непонятную для посторонних или неав-.
,
ключа, а не секретностью алгоритма шифрования. При этом стойкость криптосистемы зависит от нескольких параметров: от сложности алгоритмов преобразования, от длины ключа, а точнее, от объема ключевого пространства, от метода реа.
можно разделить на два больших класса: блочные и поточные. Блочные криптосистемы преобразуют информацию блоками фиксированной длины, как правило, длина блока равна 32, 64 или 128 битов. Поточные шифры оперируют с битами (реже с байтами), стараясь обеспечить шифрование в режиме реального времени или близком к нему. Высокая скорость работы поточных шифров определяет область их использования - закрытие данных, требующих оперативной доставки .
На сегодняшний день имеется достаточно большое число различных поточных шифров. Только в книге «Поточные шифры» группы авторов (А.В. Асоков,
. . , . . , . . , . . , . . ),
2003 году в издательстве «КУДИЦ-ОБРАЗ», описано более 20 шифров [1]. Наличие большого числа криптоалгоритмов, направленных на реализацию одной и той , , . в связи с этим возникает необходимость проведения тщательного анализа имеющихся криптосистем поточного шифрования данных с целью выявления их основ, . быть получены сравнительные характеристики существующих криптосистем, что позволит выработать рекомендации по их применению. Кроме того, появится возможность разработки новых криптосистем, которые будут учитывать недостатки уже существующих алгоритмов. Применение к разрабатываемым поточным алгоритмам шифрования современных методов криптоанализа позволит еще на этапе проектирования выявить и устранить возможные уязвимости.
,
статистических свойств генератора гаммы. Порождаемая, известная криптоанали-
, : восстановление ключа шифра, не допускать предсказание гаммы по известному ее отрезку (как вперед, так и назад), ничем не отличаться от случайной .
, , статистические свойства, - необходимы, но их недостаточно для того, чтобы шифр был криптографически стойким [2].
, -
ров, существуют и другие методы криптоанализа, которые изначально применялись для анализа блочных шифров. Это, например, такие методы анализа, как ли-
нейный и дифференциальный криптоанализ. Все эти методы по отношению к поточным шифрам являются малоизученными.
В качестве объекта изучения был выбран шифр А5/1, как один из наиболее ярких представителей поточных шифров. Шифр А5/1 - это поточный шифр, используемый для шифрования связи GSM (Group Special Mobile - мобильная групповая специальная связь). GSM - европейский стандарт для мобильных цифровых сотовых телефонов. Он используется для шифрования канала «телефон/б^овая ».
. 54
, - 22 . вектор используются для инициализации трех РСОЛС, которые неупорядоченно .
5/1 ,
сдвига с обратной линейной связью (РСЛОС) длиной 19, 22 и 23 битов. Выходом является результат операции сложения по модулю 2 (операция XOR) над тремя .
1
2
3
x19 + x18 + x17 + x14 + 1,
x22 + x21 + 1,
x23 + x22 + x21 + x8 + 1.
Выходные биты снимаются со старших разрядов регистров, после чего с по-XOR
выходной бит гаммы шифра. Регистры работают по принципу stop-and-go, что обеспечивается с помощью применения специальной функции majority, на вход которой подаются значения битов регистров: бит х1 (восьмой разряд) для РСОЛС
1, бит х2 (десятый разряд) для РСОЛС 2 и бит х3 (десятый разряд) для РСОЛС 3. majority :
Majority (х1,х2,х3) = х1х2+х1х3+х2х3.
Результатом работы этой функции является 1 бит, который определяет, какие регистры будут тактироваться и сдвигать содержащуюся информацию вправо, а какие нет, т.е. если бит с выхода функции совпадает со значением бита х регистра, то информация в регистре сдвигается, иначе нет. Фактически эта функция является функцией большинства, т.е. она принимает то значение, которое преобладает на ее входах. На каждом шаге работы шифра два или три регистра сдвигаются. Таким , -стью % и не сдвигается с вероятностью '.
Процесс формирования гаммы, необходимой для шифрования одного кадра, состоит из следующих шагов.
1) Все три регистра сбрасываются в ноль, а затем тактируются 64 раза без учета режима stop-and-go. Во время этого этапа каждый бит ключа Кс последова-
XOR
с сигналом обратной связи. Так как длина ключа шифрования составляет 54 бита, то недостающие биты образуются с помощью дополнения ключа нулевыми .
2) Все три регистра тактируются 22 раза без учета режима Б1;ор-апё-§о. Во время этого этапа биты номера кадра последовательно записываются в самый младший разряд каждого регистра после операции ХОИ с сигналом обратной
.
3) Осуществляется 100 тактов работы алгоритма с использованием режима Б1;ор-апё-§о, что обеспечивает перемешивание ключевой информации.
4) 228
Б1;ор-апё-§о для формирования гаммы. Затем осуществляется шифрование, когда с помощью операции ХОИ сформированная последовательность накладывается на информацию, содержащуюся в кадре [1].
На сегодняшний день существуют несколько подходов к криптоанализу алгоритма А5/1. Стандартным предположением является то, что криптоаналитику известны определенные биты выходной последовательности А5/1 в определенных . , -лучить все выходные биты в течение некоторого начального отрезка разговора, и его задачей является определение ключа для того, чтобы расшифровать оставшуюся часть разговора.
Рассмотрим возможность и особенности применения метод дифференциального криптоанализа к этому шифру. Дифференциальный криптоанализ был впервые описан Э. Бихамом и А. Шамиром в начале 90-х гг. прошлого века применительно к алгоритму шифрования БББ. Позднее оказалось, что данный метод анализа может быть применен к широкому классу шифров, в том числе и к поточным. Идея дифференциального ктиптоанализа (ДК) заключается в том, чтобы проследить изменение несходства между двумя отдельными текстами при их зашифровании с использованием того или иного алгоритма. Под несходством двух текстов ,
.
дифференциал, или разность. Разность (дифференциал) двух сообщений принято обозначать знаком А.
Возвращаясь к анализу шифра А5/1, вспомним, что объединенные 86 битов ключа К и инициализирующего вектора IV используются для линейной инициализации начального значения 64 битов трех регистров Б, входящих в структуру шифра А5/1. Из этого можно сделать вывод, что на вход шифра А5/1 можно подать достаточно большое число различных комбинаций дифференциалов (р^но-стей) вида (АК, А^) —► АБ. В среднем 222 возможных вариантов разностей (АК, А^) будут давать после инициализации одно и то же значение АБ.
Самой лучшей разностью (дня которой АБ Ф 0 после загрузки ключа и номера кадра) является входная разность (АК, А^) = (0000015Р102Б07Б2х, 08БББ3,;) [3]. С вероятностью 1 она ведет к двум внутренним состояниям регистров Б1 = (И11, И12, И13) и Б2 = (И21, И22, И23), разность которых равна АБ = 81©Б2 = (И11©И21, И12©И22, И13©И23) = (0, 000800х, 0). Таким образом, И11©И21 = 0, И12©И22 = = 000800х , И13©И23 = 0.
1 111 2 2 2 2
Каждое из этих двух состояний Б = (И 1, И 2, И 3) и Б = (И 1, И 2, И 3) тактируется 100 раз в режиме Б1;ор-апё-§о. Так как первые биты разностей для всех трех регистров состояний равны нулю, то в самом начале нет разницы в битах, которые поступают в блок синхронизации, и поэтому число раз, когда состояние Б1 было тактировано, равно числу раз, когда было тактировано Б2. С каждым тактированием значение разности в регистре И2 меняется путем сдвига содержимого регистра. Так продолжается до тех пор, пока в бит регистра И2, участвующий в операции отвода, не попадет значение 1. В следующий раз, когда регистр И2 сдвинется после
этого события, бит разности загружается в регистр R2 и разность внутренних состояний становится равной (0, 200001х, 0). После следующего сдвига R2 разность между R12 и R22 составит 000003х, то есть в битах R2 [0,1].
Разность между значениями R2 будет продолжать меняться, то есть сдвигаться тогда, когда R12 и R22 сдвигаются (сдвиг в регистрах R12 и R22 будет происходить одновременно, так как в контрольных битах нет разницы). Так будет происходить до тех пор, пока значение 1 в разности не достигнет контрольного бита. Исследования показывают, что с вероятностью 0,197 = 2-2346 разность между состояниями станет равной (0, 001800х, 0), то есть все регистры были сдвинуты одинаковое , .
С этого момента опять нет разницы в контрольных битах, и разность R2 меняется с вероятностью 1 до тех пор, пока R2 не станет равным 300000х. Эта разность преобразуется в значение (0, 000500х, 0) и проходит через контрольный бит с вероятностью 0,135 = 2-2890. Затем разность проходит по кругу регистр и достигает значения (0, 00000Бх, 0). Эта разность меняется до значения (0, 000011х, 0) с ве-
0,092 = 2-3.439. -
ров приведено в табл. 1.
1
Преобразование разностей внутреннего состояния А5/1 при заданной разности (ДК, АТУ) = (0000015Е102Б07Е2Х, 08ЕББ3Х)
Событие Число раз, когда R2 был сдвинут Значение разницы Вероятность
После инициализации ключа 0 (0, 000800x, 0) 1
Разность поступает в R2[21] 10 (0, 20000^, 0) 1
Разность покидает R2[21] 11 (0, 000003x, 0) 1
Разность начинает сдвигаться 20 (0, 000600x, 0) 1
Разность проходит сдвиг 22 (0, 001800x, 0) 2-2.346
Разность покидает R2[21] 32 (0, 000005x, 0) 1
Разность начинает сдвигаться 40 (0, 000500x, 0) 1
Разность проходит сдвиг 43 (0, 002800x, 0) 2-2.346
Разность покидает R2[21] 53 (0, 00000Fx, 0) 1
Разность начинает сдвигаться 60 (0, 000780x, 0) 1
Разность проходит сдвиг 64 (0, 007800x, 0) 2-2.346
Разность покидает R2[21] 74 (0, 0000Ш, 0) 1
После 100 тактов, во время которых выходной результат отбрасывался, шифр А5/1 начинает выводить поток битов ключа Кс. Когда выходной поток начинает
вырабатываться, разность в выходном потоке может быть определена (если два значения имели предсказанную разность).
Проблема заключается в том, что точная разность неизвестна так же, как неизвестно точное число раз, когда регистр R2 был сдвинут во время инициализации. Однако наиболее вероятное число сдвигов регистра R2 равно 79 [3]. Это число сдвигов посчитано с вероятностью 0,092, то есть с вероятностью 0,197*0,135*0,092*0,092 = 0,000225=1/4442 разность между состояниями регистров будет равна (0, 000044х, 0). Было замечено, что существуют несколько подоб, R2 (
1/4442).
, , , -, (0, 000044 , 0) 0 1. , -
вые три бита выходного потока неизбежно не будут иметь разницы с вероятностью по крайней мере 0,58 (выходной поток не будет обязательно различаться,
).
На основании рассмотренного можно сформулировать методику осуществления дифференциального криптоанализа алгоритма шифрования А5/1, которая сводится к следующему:
1. Подобрать такую пару (ДК, AIV), которая после инициализации ключа и
R1=
= 0, ДЯ2 = 000800x, AR3 = 0. Для этого необходимо построить и решить систему уравнений. Для решения можно использовать метод Гаусса.
2. К IV -
лизации stop-and-go. Состояние регистров после инициализации обозначим как AZ.
3. Проследить преобразование разности AZ и определить наиболее вероятное
.
4. Подобрать такие у и у', для которых у © у' = Ду. При этом считать, что у и у' были соответственно получены из таких пар (К, IV) и (К', IV'), для которых К © К' = К, IV © IV' = IV.
5. С учетом знания, в какие такты в регистрах R1, R2 и R3 был произведен
', Z Z'.
необходимо построить и решить все возможные системы уравнений. Для решения можно использовать метод Г аусса.
6. Отобрать те состояния, для которых Z © Z' = KL.
7. К, К', IV IV'.
8. , : К © К' = К
IV © IV' = IV.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Асо сков AM., Иванов МЛ., Мирский А А., Рузин AM., Сланин AM., Тютвин AM. П о-точные шифры. - М.: КУДИЦ-ОБРАЗ, 2003. - 336 с.
2. Бабенко Л.К., Наумов ИМ. Реализация и тестирование поточного шифра WG // Материалы IX Международной научно-практической конференции «Информационная безопасность». 4.2. - Таганрог, 2007. - С. 121-125.
3. Biham Е, Dunkelman О. Differential Cryptanalysis in Stream Ciphers / Eli Biham, Orr Dunkelman. - Dept. of Electrical Engineering ESAT/SCD-COSIC. Kasteelpark Arenberg 10.
4. . . , ,
на языке Си. - М.: ТРИУМФ, 2002. - 816 с.
Бабенко Людмила Климентьевна
Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет» . .
E-mail: [email protected].
347928, г. Таганрог, ул. Чехова, 2, корпус "И".
Тел.: 8 (8634) 312-018.
Кафедра безопасности информационных технологий; профессор.
Babenko Lyudmila Klimentevna
Taganrog Institute of Technology - Federal State-Owned Educational Establishment of Higher Vocational Education “Southern Federal University”.
E-mail: [email protected].
Block “I”, 2, Chehov str., Taganrog, 347928, Russia.
Phone: 8 (8634) 312-018.
The Department of Security of Information Technologies; professor.
Ищукова Евгения Александровна
Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет» . .
E-mail: [email protected].
347928, . , . , 2, " ".
Тел.: 8 (8634) 371-905.
Кафедра безопасности информационных технологий; доцент.
Ischukova Evgeniya Aleksandrovna
Taganrog Institute of Technology - Federal State-Owned Educational Establishment of Higher Vocational Education “Southern Federal University”.
E-mail: [email protected].
Block “I”, 2, Chehov str., Taganrog, 347928, Russia.
Phone: 8 (8634) 371-905.
The Department of Security of Information Technologies; associate professor.
